OPENSSH升级为7.4

导语

    Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求，建议将其升级到最新的OpenSSH版本，当前官网最新版本为7.4p1. 本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是，升级过程中虽然涉及zlib、openssl和openssh的卸载，但是并不会导致当前的ssh远程连接会话断开，因此是可以将整个升级过程写成自动化脚本以进行自动批量部署的。

注意：这里的安装步骤是针对之前的OPENSSH或者OPENSSL是RPM包安装的。如果之前的安装方式也是源码安装的，这里在安装的时候的时候需要记住本次安装的位置。并且在安装完成后，需要指定新的环境变量

步骤

1、准备工作

1.1、下载相关软件包

    OpenSSH需要依赖ZLIB和OpenSSL，因此需要从官网下载三者的源码包。需要注意的是：OpenSSH最新版7.4p1依赖的OpenSSL版本为1.0.2k，而不是其最新版1.1.0e（使用此版会升级失败）,ZLIB可以使用最新版1.2.11。redhat6.7自带的zlib版本为1.2.3，也可不进行升级。 三者源码下载地址：

建议直接走官网下载（走过想走走自己搭建的FTP服务器下载，一定要在现在的时候输入BIN 二进制格式下载，否则会报错）

例如：ftp://ftp.jaist.ac.jp/pub/OpenBSD/OpenSSH/portable/openssh-7.4p1.tar.gz

http://www.zlib.net/
http://www.openssl.org/
http://www.openssh.org/

1.2、查看系统当前软件版本

# rpm -q zlib
# openssl version
# ssh -V

1.3、配置本地yum源

    因安装相关工具和编译源码需要先安装部分软件包，因此需要先配置好本地yum源（如有远程yum源更好），配置方法如下：

    A、将操作系统镜像上传到服务器中，进行挂载

# mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt        #此处挂载目录可自行指定

    B、配置yum源文件

#  /etc/ -rf * rhel6.==:enabled====:enabled====:enabled====:enabled====:enabled==

1.4、安装telnet服务并启用

    因升级OpenSSH过程中需要卸载现有OpenSSH, 因此为了保持服务器的远程连接可用，需要启用telnet服务作为替代，如升级出现问题，也可通过telnet登录服务器进行回退。

    A、安装telnet服务

# yum -y install telnet-server*

    B、启用telnet

  先关闭防火墙，否则telnet可能无法连接

  # service iptables stop

  # chkconfig iptables off

#  /etc/xinetd.d/ /etc/securetty /etc/

1.5、安装编译所需工具包

# yum -y install gcc pam-devel zlib-devel

2、正式升级

2.1、升级ZLIB

    A、解压zlib_1.2.11源码并编译

# tar -zxvf zlib-1.2.11.tar.gz
# cd zlib-1.2.11# ./configure --prefix=/usr/local/zlib
# make

    B、卸载当前zlib

    注意：此步骤必须在步骤A执行完毕后再执行，否则先卸载zlib后，/lib64/目录下的zlib相关库文件会被删除，步骤A编译zlib会失败。（补救措施：从其他相同系统的服务器上复制/lib64、/usr/lib和/usr/lib64目录下的libcrypto.so.10、libssl.so.10、libz.so.1、libz.so.1.2.3四个文件到相应目录即可。可通过whereis、locate或find命令找到这些文件的位置）

# rpm -e --nodeps zlib

    C、安装之前编译好的zlib

# 在zlib编译目录执行如下命令
# make install

    D、共享库注册

    zlib安装完成后，会在/usr/lib目录中生产zlib相关库文件，需要将这些共享库文件注册到系统中。

# echo '/usr/lib' >> /etc/ld.so.conf
# ldconfig                    #更新共享库cache

    或者采用如下方式也可：

# ln -s  /usr/lib/libz.so.1 libz.so.1.2.11# ln -s  /usr/lib/libz.so libz.so.1.2.11# ln -s  /usr/lib/libz.so.1 /lib/libz.so.1# ldconfig

    可通过yum list命令验证是否更新成功（更新失败yum不可用），另外redhat和centos的5.*版本不支持高于1.2.3的zlib版本。

2.2、升级OpenSSL

    官方升级文档：http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/openssl.html

    A、备份当前openssl

# find / -name openssl/usr/lib64/openssl/usr/bin/openssl/etc/pki/ca-trust/extracted/openssl

# mv  /usr/lib64/openssl /usr/lib64/openssl.old
# mv  /usr/bin/openssl  /usr/bin/openssl.old
# mv  /etc/pki/ca-trust/extracted/openssl  /etc/pki/ca-trust/extracted/openssl.old

  如下两个库文件必须先备份，因系统内部分工具（如yum、wget等）依赖此库，而新版OpenSSL不包含这两个库

  # cp  /usr/lib64/libcrypto.so.10  /usr/lib64/libcrypto.so.10.old

  # cp  /usr/lib64/libssl.so.10  /usr/lib64/libssl.so.10.old

    B、卸载当前openssl

#  -qa | -.1e--e --nodeps openssl-.1e--qa |  openssl
或者直接执行此命令：rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}

    C、解压openssl_1.0.2k源码并编译安装

# tar -zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config --prefix=/usr/local/openssl --openssldir=/etc/ssl --shared zlib    #必须加上--shared，否则编译时会找不到新安装的openssl的库而报错
# make# make test                            #必须执行这一步结果为pass才能继续，否则即使安装完成，ssh也无法使用
# make install# openssl version -a                   #查看是否升级成功

    D、恢复共享库

    由于OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10这两个库，而yum、wget等工具又依赖此库，因此需要将先前备份的这两个库进行恢复，其他的可视情况考虑是否恢复。

# mv  /usr/lib64/libcrypto.so.10.old  /usr/lib64/libcrypto.so.10# mv  /usr/lib64/libssl.so.10.old  /usr/lib64/libssl.so.10

2.3、升级OpenSSH

    官方升级文档：http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html

    A、备份当前openssh

# mv /etc/ssh /etc/ssh.old

    B、卸载当前openssh

#  -qa | -clients-.3p1--server-.3p1--.3p1--askpass-.3p1--e --nodeps openssh-.3p1--e --nodeps openssh-server-.3p1--e --nodeps openssh-clients-.3p1--e --nodeps openssh-askpass-.3p1--qa |  openssh
或者直接执行此命令：rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}

    C、openssh安装前环境配置

# install  -v -m700 -d /var/lib/sshd
# chown  -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd  -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd

    D、解压openssh_7.4p1源码并编译安装

# tar -zxvf openssh-7.4p1.tar.gz
# cd openssh-7.4p1
# ./configure   --prefix=/usr   --sysconfdir=/etc/ssh   --with-md5-passwords   --with-pam   --with-tcp-wrappers   --with-ssl-dir=/usr   --without-hardening//注意这里一定要加上 with_pam 不然很可能安装完成后任何用户都无法登录出错。
注意：这里可能会报错，原因是系统没有安装新版SSH需要PAM文件：PAM is enabled. You may need to install a PAM control file  for sshd, otherwise password authentication may fail.  Example PAM control files can be found in the contrib/  subdirectory
如果本机安装了YUM源头，建议直接yum install pam* -y 安装所有的paM文件包以及他的依赖包。注意，这里的SSL-DIR和ZLIB——DIR必须和你前面安装的位置相同，否则无法识别）
# make
# make install

    E、openssh安装后环境配置

# 在openssh编译目录执行如下命令
#  -v -m755    contrib/-copy- /usr/ -v -m644    contrib/-copy-. /usr/share// -v -m755 -d /usr/share/doc/openssh- -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-.4p1
#  -V              #验证是否升级成功

    F、启用OpenSSH服务

# 在openssh编译目录执行如下目录
#   >> /etc//  >> /etc// -p contrib/redhat/sshd.init /etc/init.d/ +x /etc/init.d/----

3、善后工作

    新开启远程终端以ssh [ip]登录系统，确认一切正常升级成功后，只需关闭telnet服务以保证系统安全性即可。

注意如果遇到重启服务无法登录的情况（在确认帐号密码输入正确的情况下），把usepam no 去掉注释即可。

#  /etc/securetty.old /etc/

  如有必要，可重新开启防火墙

  # service iptables start

  # chkconfig iptables on

    如需还原之前的ssh配置信息，可直接删除升级后的配置信息，恢复备份。

# rm -rf /etc/ssh# mv /etc/ssh.old /etc/ssh